WebSphere快速入门(22)

6.8 安全性
WebSphere应用服务器具有很好的安全性支持。安全性简单地说就是确定谁可访问重要的系统资源，这些系统资源包括文件、目录、程序、连接和数据库。以独立模式运行WebSphere应用服务器比作为 Web 服务器的一部分运行具有更高的安全性。如果安全性要求超出了 Web 服务器提供的安全性，那么请以独立模式运行WebSphere应用服务器。下面介绍使用存取控制表保护资源、选择认证方案和协议、在WebSphere应用服务器中使用目录服务。
    1．使用存取控制表保护资源
建立了一个设置安全性的基本过程。
与安全性相关的概念包括用户、组、资源、许可权、领域、和存取控制表（ACL），这些安全性概念是紧密相关的，现说明如下：
    (1) 用户：一个可被 Web 服务器认证的身份。用户可以是人也可以是计算机。
    (2) 组：用户的集合。组提供了一个管理大量的用户的有效方法，这是因为管理员可以一次指定一个组的许可权。通常，组成员之间有一些共同特征。例如，一个公司中可能包括一个由管理级雇员组成的组，和另一个由非管理级雇员组成的组。其中，可能对非管理级用户赋予查看销售数据文件的访问权，而对管理级用户赋予查看和编辑销售数据文件的访问权。可以将一个人定义成单个用户，同时也将其定义成组的成员。例如，个人 Amy 可能代表单个用户 amy，也可能代表组 managers 的成员。
    (3) 资源：通过 Web 服务器进行存取的有价资源包括HTML 文件和目录（Web 页面）、其它文件和目录（如FTP文件）、Web 应用程序（Java Servlet 或 CGI 程序），而通过WebSphere应用服务器进行存取的资源包括Java Servlet、启用访问企业资源和应用程序（如数据库）的定制 Servlet、连接、套接字、文件和其它可由 Servlet 使用的资源。
    (4) 许可权：许可权表示请求访问资源的特权。管理员可通过建立存取控制表向用户和组授予许可权，以保护资源。许可权是与特定的资源相关的。想象一下，如果一个用户具有查看文件 A 和修改文件 B 的许可权。那么该用户不能用修改文件 B 的许可权来修改文件 A。每个许可权仅适用于特定的资源，且不能传递。单个用户的许可权优先于组的许可权。例如，如果用户 amy 对文件具有读、写权，但同时 amy 所属的组对该文件仅有读取权，那么 amy 仍对该文件具有读、写权，这是因为单个用户的许可权将覆盖具有更多限定的组许可权。（即使组的许可权限制性低于单个用户的许可权，但用户的许可权仍将覆盖组的许可权）。